Baixe o app para aproveitar ainda mais
Prévia do material em texto
Disciplina: Segurança em Tecnologia da Informação (GTI08) Avaliação: Avaliação Final (Objetiva) - Individual FLEX ( Cod.:423463) ( peso.:3,00) Prova: 7670218 Nota da Prova: 10,00 Gabarito da Prova: Resposta Certa Sua Resposta Errada 1. Diante dos vários riscos, ameaças e vulnerabilidades que atingem os sistemas de informação das organizações, há a necessidade da adoção de um sistema de gestão de segurança da informação (SGSI) que visa a garantir a continuidade dos negócios, minimizar danos e maximizar os resultados. Com o objetivo de auxiliar a definição do SGCI, pode-se utilizar um padrão reconhecido internacionalmente. Assinale a alternativa CORRETA: a) ISO/IEC 13335. b) ISO 4217. c) BS/ISO 9001. d) BS 7799-2. 2. Devido à sua importância, os sistemas de informações de uma empresa devem ser muito bem protegidos. Para avaliar se os controles são eficazes, e assim mensurar se estão ou não vulneráveis, uma ferramenta importante que pode ser utilizada é a auditoria. O auditor focará na avaliação da eficácia dos controles em prevenir e detectar possíveis ameaças. Para facilitar o trabalho do auditor, algumas técnicas de auditoria assistida por computador podem ser aplicadas em algumas tarefas. Quais são essas tarefas? a) Testes de controles específicos e amostragem. b) Testes geral de transações, analítico e amostragem. c) Testes de controles gerais, testes de detalhes de transações, analítico e substantivo e amostragem. d) Testes de controles específicos, testes geral de transações, analítico e substantivo e amostragem. 3. Quando duas pessoas, Alice e Bob, querem trocar mensagens entre si e garantir que nenhum intermediário consiga interceptar as mensagens e entendê-las, uma das alternativas é a utilização de criptografia. Com relação à criptografia, analise as afirmativas a seguir: I- Uma mensagem em texto plano é cifrada através de um algoritmo de criptografia (chave) e somente pode ser desencriptada com a utilização do mesmo algoritmo. II- A combinação da autenticação e da criptografia constituem os chamados canais seguros, que fornecem serviços de segurança para as tecnologias de comunicação existentes. III- A utilização de firewalls é essencial para a eficiência das chaves utilizadas na criptografia de mensagens. IV- A tecnologia de autenticação, parte componente dos canais seguros, consiste na utilização de informações de login e senha por parte dos usuários que quiserem se comunicar. Assinale a alternativa CORRETA: a) As afirmativas I e II estão corretas. b) As afirmativas I e IV estão corretas. c) As afirmativas I, II e IV estão corretas. d) As afirmativas II, III e IV estão corretas. 4. A construção de um PCN, em sua fase de planejamento, deve compreender algumas importantes tarefas para que sua composição atenda plenamente aos requisitos de segurança e retomada de atividades. É fundamental que os processos críticos sejam identificados, que a análise e a classificação dos impactos sejam devidamente realizadas, que a documentação necessária seja gerada, assim como o treinamento e a conscientização de pessoal. Sobre a análise e a classificação dos impactos, assinale a alternativa CORRETA que apresenta o nome da ferramenta de apoio para esta atividade: a) BRP. b) BIA. c) CM. d) EP. 5. As ferramentas generalistas de auditoria são programas que podem ser utilizados pelo auditor para, entre outras funções, simular, analisar amostras, processar, gerar dados estatísticos, sumarizar, apontar duplicidade. Além disso, esses softwares têm como vantagens a capacidade de processar diversos arquivos ao mesmo tempo, além de poder processar vários tipos de arquivos em vários formatos. Existem diversos programas para essas finalidades, com base nesses sistemas, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Interactive Data Extraction & Analisys (IDEA) é um software para extração e análise de dados. ( ) Audit Command Language (ACL) é um software que auxilia auditores internos e externos na realização de testes em arquivos de dados. ( ) Audit Support Data (ASD) é um software de apoio aos auditores para análise de dados. ( ) Audimation: é a versão norte-americana de IDEA, da Caseware-IDEA, que desenvolve consultoria e dá suporte sobre o produto. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) F - F - V - V. b) V - F - F - V. c) F - V - V - F. d) V - V - F - V. 6. A gestão do risco representa uma das etapas mais importantes no estabelecimento de uma política de segurança de tecnologia da informação, possibilitando o estabelecimento de prioridades de segurança com base em fatores como probabilidade de ocorrência e impacto na organização. Com relação à gestão de riscos, classifique V para as sentenças verdadeiras e F para as falsas: ( ) Medidas preventivas são controles que reduzem a probabilidade de uma ameaça se concretizar ou minimizam o grau de vulnerabilidade de determinado ativo. ( ) Uma vez estabelecida uma política de gestão de riscos, esta somente será revista em caso de mudança de algum recurso computacional de hardware ou software. ( ) A aplicação ou não de uma medida para diminuir a probabilidade de ocorrência de um evento ou para tratá-lo após sua ocorrência deve considerar como um dos principais critérios a relação custo/benefício. Por via de regra, não se gasta um valor superior ao do ativo com medidas de segurança para o mesmo. ( ) A elaboração de uma matriz de riscos, considerando duas dimensões distintas: gravidade do impacto e probabilidade de ocorrência do incidente, representa um método qualitativo de avaliação de riscos. Assinale a alternativa que apresenta a sequência CORRETA: a) F - V - F - V. b) V - F - F - V. c) V - F - V - V. d) V - F - V - F. 7. Para que uma política de segurança (PSI) seja eficiente, ela deve garantir a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações. Ela também deve descrever claramente o comprometimento da alta direção. Além disso, os elementos de uma política de segurança devem manter a disponibilidade da infraestrutura da organização. Sobre os elementos essenciais para a definição da PSI, analise as sentenças a seguir: I- Os funcionários da organização devem compreender a importância da sua segurança, essa atitude refere-se ao elemento vigilância. II- A postura é a conduta com relação à segurança, refere-se ao elemento postura. III- O elemento referente à estratégia, indica que ele deve ser criativo quanto às definições da política e do plano de defesa contra intrusões, possuir a habilidade de se adaptar às mudanças. IV- Com relação ao elemento tecnologia, a solução tecnológica deverá preencher as necessidades estratégicas da organização. Agora, assinale a alternativa CORRETA: a) Somente a sentença III está correta. b) As sentenças II, III e IV estão corretas. c) As sentenças I, III e IV estão corretas. d) As sentenças I, II e IV estão corretas. 8. O auditor que atua com os sistemas de informação possui a formação como qualquer outro auditor, o que diferencia as funções são as ferramentas tecnológicas utilizadas para auditar os equipamentos e os sistemas de informação. O principal controle da auditoria está em controles internos, verificar e analisar se os controles internos estão implementados de forma correta. A auditoria possui alguns princípios e objetivos que o tornam mais competitivos. Sobre esses princípios, análise as seguintes opções: I- Níveis de riscos reduzidos e melhor eficiência com custos reduzidos. II- Serviços automatizados, com qualidade e reconhecidos no mercado. III- Disponibilizar serviços lógicos, físicos e auditar os registros de cálculos. IV- Utilização de variáveis estatísticas e matemáticasnas amostras encontradas. Agora, assinale a alternativa CORRETA: a) Somente a opção IV está correta. b) Somente a opção III está correta. c) As opções II e IV estão corretas. d) As opções I e II estão corretas. 9. É de conhecimento que os incidentes geram prejuízos financeiros para as organizações. Eles ocasionam perdas ou degradações ao ambiente, ou ambos, sendo que seus efeitos são percebidos através da avaliação dos impactos causados. Estes impactos, por sua vez, são classificados com relação à influência exercida sobre os aspectos de confidencialidade, integridade e disponibilidade. Avalie os efeitos relacionados a seguir: I- Perda significante dos principais ativos e recursos. II- Impossibilidade de continuar com as atividades de negócio. III- Perda dos principais ativos e recursos. IV- Perda de alguns dos principais ativos e recursos. Com relação a categoria, assinale a alternativa CORRETA que apresenta, respectivamente, a classificação dos impactos dos efeitos citados: a) Alto, Médio, Médio, Baixo. b) Médio, Médio, Baixo e Baixo. c) Médio, Alto, Médio e Médio. d) Alto, Alto, Médio e Baixo. 10. Por hipótese, imagine o seguinte cenário: considere que, em uma empresa, uma planilha com os salários de todos os funcionários que estava armazenada em um computador (o servidor de arquivos) tenha sido acessada por usuários que não tinham autorização. Eles apenas visualizaram as informações contidas nesta planilha, mas não as modificaram. Neste caso, um princípio da segurança da informação comprometido com esse incidente. Sobre o exposto, classifique V para as sentenças verdadeiras e F para as falsas: ( ) O princípio violado foi a disponibilidade, pois a informação estava disponível. ( ) O princípio violado foi a autenticidade, pois não solicitou a autenticação. ( ) O princípio violado foi o de não repúdio, pois deveria ter verificado a origem. ( ) O princípio violado foi a confidencialidade, pois o acesso deveria ser apenas ao usuário devido. Agora, assinale a alternativa que apresenta a sequência CORRETA: a) V - V - F - F. b) V - F - F - V. c) F - V - V - F. d) F - F - V - V. 11. (ENADE, 2014) No cenário de uma economia globalizada, cresce o interesse pelo empreendedorismo e pela busca de meios que levem a uma maior produtividade, competitividade e inovação. Os avanços das tecnologias da informação e comunicação (TIC) auxiliam esse crescimento. Atualmente, uma parcela significativa dos negócios tem uma dependência forte das TIC. Desse modo, manter a disponibilidade da informação e comunicação e manter os negócios operando, sem qualquer paralisação, é indispensável. No entanto, é preciso analisar o que pode ser afetado, qual o impacto financeiro e quais os impactos na imagem e na reputação da empresa, se cada um dos processos de negócio sofresse uma paralisação por conta da TIC. A fim de mitigar possíveis riscos, é recomendável documentar um plano para eliminar ou reduzir a possibilidade de ocorrer cenários de indisponibilidade da TIC. Nessa situação, é preciso elaborar: a) Plano de negócio de gerenciamento de projetos. b) Plano de contingência. c) Plano de negócio de gerência de riscos. d) Plano de negócio. 12. (ENADE, 2014) As transações eletrônicas na Internet precisam de mecanismos de segurança capazes de garantir autenticidade, confidencialidade e integridade das informações. Com relação a esse contexto, avalie as afirmações a seguir: I. Criptografia assimétrica é um método em que é utilizado um par de chaves: uma pública e uma privada. II. Certificado digital é um documento assinado digitalmente que permite associar uma pessoa ou entidade a uma chave pública. III. Assinatura digital é um método de autenticação de informação digital tipicamente tratado como análogo à assinatura física em papel. IV. VPN (Virtual Private Network) é um dispositivo de uma rede de computadores por meio do qual se aplica uma política de segurança a determinado ponto da rede. É correto apenas o que se afirma em: a) III e IV. b) II, III e IV. c) I e II. d) I, II e III.
Compartilhar